【金融视点】以数据为先的思路管理反洗钱合规工作

李威03

以数据为先的思路管理反洗钱合规工作

来源：普华永道

发布时间：2020年9月21日

原文链接：https://mp.weixin.qq.com/s/Bx3GTYNOdA9LvYdF2ux6zw

日益提高的监管要求和合规行业趋势

随着严厉打击金融犯罪成为全球金融监管的共识，近两年来中国人民银行（下简称“人行”）对于我国金融机构的反洗钱要求和关注在不断提升，监管方面的执法力度和执法数量也在步步攀升，监管机构逐步增加了对金融机构反洗钱领域的现场检查频率与力度。金融机构在合规方面仍有较多不足，以至于2019年末和2020年初以来，国内多家股份制银行、外资行及非银金融机构密集受到处罚，个别罚单金额甚至破纪录地超过千万元人民币。

总结最近金融机构被处罚个案的经验教训可见，良好反洗钱合规离不开相关系统的支持来完成有效监测，而行之有效的反洗钱系统则离不开良好的数据基础。从这个意义上来说，做好反洗钱数据治理工作，并不只应该是“亡羊补牢”，而更应该做到“未雨绸缪”。每家金融机构反洗钱合规工作的质量，也牵涉到整个国家的金融安全。相应地，对于反洗钱合规工作，监管更是明确对金融机构要求要加强数据治理，建立健全数据质量控制机制，积累真实、准确、连续、完整的内外部数据，用于洗钱风险识别、评估、监测和报告。2018年人行和银保监会分别发布《法人金融机构洗钱和恐怖融资风险管理指引（试行）、《银行业金融机构数据治理指引》等文件，对数据治理框架和数据质量提出明确的指导要求，进一步确立数据在反洗钱系统建制中所扮演的关键角色。

行业实践中反洗钱数据治理工作存在以下几点主要趋势：

• 传统的反洗钱监测工作通常太晚发现监测数据出现漏洞，会很大地拖累反洗钱合规的有效性和效率。
• 金融机构如果能够尽早明确数据需求、建立数据标准、完善数据质量，可以在实现反洗钱合规战略时抢占先机。
• 若能提前建立健全反洗钱合规数据治理架构，可以确保数据治理资源配置，明确管理层、合规部门、业务部门及其他如科技等职能部门的工作职责，制度化地管理数据，尽快实现数据价值最大化。
• 使用反洗钱专项数据集市或数据池来关联原始数据及目标系统建立数据架构和模型的方法，可以让合规数据治理更有的放矢。
• 自动化和可视化技术的引入，让数据治理框架下周期性地进行数据校验和数据改进工作不再成为数据管理者的“老大难”问题，让数据导向下的风险决策更加透明和高效。
  
  
  

本文根据普华永道对监管要求的判断和行业实践的理解，将这些反洗钱数据治理工作的有用经验总结为“数据为先”的管理思路建议，供广大一线反洗钱合规从业者参考。

什么是“数据为先”以及如何落实

在一个传统的反洗钱合规流程中，数据问题往往在最终进行案件审阅或监管上报的时候才被暴露出来。此时再进行纠正的成本高、效率低，很多时候补救手段也只停留在“临时补丁”程度。合规人员发现他们经常都在修正错过的数据需求，基于残缺的数据做风险决策，或者对补救数据问题疲于奔命。

不同于传统的反洗钱管理方法，“数据为先”指的是在反洗钱合规的全流程中，尽可能地考虑到数据的作用。用数据度量洗钱风险，评估合规工作的有效性，通过数据分析开展反洗钱监测工作，加速提升反洗钱合规管理的战略转型。使用“数据为先”的方法将会从以下六大方面入手，以保证数据治理工作全面有序地进行：

1. 数据治理战略

主要包含与反洗钱系统联动的数据价值提升愿景；制定数据价值提升计划书；科技赋能合规管理的战略把握；创建满足合规管理要求的数据提升案例等等。拥有良好数据治理战略离不开机构高管的支持，高级管理层需充分接受数据治理的需求，并将该要求嵌入业务目标、全合规流程、战略远景和公司价值观中。

2. 治理架构

主要包含制定数据管理标准；搭建相关政策框架；合理设计管控手段；理清相关部门和职责等等。一个成熟的治理框架主要体现在以下几个方面：

治理机制——成熟的治理架构能够配合企业级数据治理，反洗钱数据治理机制嵌入银行的战略和实操愿景。

沟通机制——数据和数据问题嵌入到公司各种沟通媒介中，而且在数据治理环节得到广泛监督和跟踪。

数据所有权和组织架构——数据所有权由所有者网络（含合规和各业务条线）构成，并且所有关键数据领域的管理职责得到良好的执行。

3. 数据需求

寻找和确定数据需求主要需要对标监管要求，考虑覆盖反洗钱合规管理全流程的主数据、交易数据、参考数据等，最后编写完备的合规数据需求书或数据字典。在制定相应数据标准和确定数据优先级的时候需考虑该数据在整个反洗钱合规周期的用途和影响，其优先级应考虑监管要求和自身业务特点。

4. 数据架构和数据模型

主要包含确定从源头到目标的最佳数据架构和数据模型，以达到反洗钱合规各种应用需求。

5. 数据质量

主要包含对数据质量进行检验；数据质量问题的根因分析和结合反洗钱管理范围的影响性分析，最终决定问题整改优先级；持续地跟踪质量问题解决进度等。

6. 变更机制

主要涉及增量数据问题整改时系统或制度流程变更的实现机制。

金融机构在一步步建立数据治理体系，完善反洗钱数据治理工作方式，从低成熟迈进高成熟的阶段过程中，往往会遇到各样挑战。若机构对这些情况不够重视，将会对数据治理工作增加不小难度。下文将从上面提到的六个方面中，选择比较难做好的数据需求、数据架构和模型以及数据质量这三点，剖析管理工作常遇到的难点及相应对策。

“数据为先”管理思路面临的几大难点及相应对策

难点一：确定完整且适合的数据需求

确定数据需求的难点是金融机构往往不知道自己管理的反洗钱相关数据范围是否合适——管少了管漏了不能充分发现可能的数据问题，而管多了又怕超过自己合规部门的职责范围。

普华永道认为监管要求是金融机构在确定反洗钱相关数据需求时候首先需要考虑的要素。除了《银行业金融机构数据治理指引》提纲挈领地描述对数据完整性的要求以外，监管对金融行业反洗钱数据准备工作也是有明确指示，比如对于银行反洗钱现场检查提出数据接口规范要求（俗称“300号文”），里面明确定义了银行反洗钱相关的关键数据。而对于非银行支付机构、证券、期货、保险机构，监管也有相应的反洗钱检查数据准备要求，都可以作为考虑数据需求的基础之一。

金融机构的内部合规业务需求也需要进行充分考量。通常来说，金融机构合作的反洗钱系统厂商应该要提供一个数据需求字典来讲解其反洗钱系统及相关模型的输入和输出数据的规格。如果银行的反洗钱系统为自主开发，参与开发的合规业务人员和IT部门应该共同维护这样一个数据字典文档。当然，其他诸如机构风险评估、客户风险评级、名单筛查、监管报送等合规环节产生的数据需求也需要全面地考虑和汇总。

针对数据需求当前和目标状态的差异分析是一个金融机构从自身数据现状入手，广泛征求数据使用者和专家意见进行自我验证的过程。其目的是为了识别和记录是否存在多个途径去提升当前数据范围的覆盖程度，亦或者认识要达到目标状态确实存在短期内无法弥补的缺口。如果是后者，这可能需要反洗钱系统的开发人员对系统或模型需求进行相应的调整，比如银行发现贸易融资相关的历史单据数据没有电子化，那对于贸易融资场景相关的交易监测可能只能暂时更多依靠手动的方式进行。所以，这个差异性分析最好是在系统建制或优化的工作之前进行，在系统需求研讨阶段再次进行验证。

下一个步骤是识别业务元素，这是将需求进行分类，分解和细化的过程，可按照数据域（Data Domain）维度进行划分。数据域是金融机构经常定义数据种类时，对数据按业务划分的数据单位。在反洗钱合规领域，常见的数据域可以按照合规流程梳理，划分为客户身份识别、客户尽职调查、可疑交易监测、名单筛查、风险评估及监管报送等。如果一个数据元素涉及一个或多个数据域，通常此类数据元素的优先级都会比较高。业务元素的识别与划分，为“以风险为本”的思路去管理反洗钱数据提供了良好的理论基础，同时为后续开展数据质量校验和数据问题整改也提供了指引。

识别好业务元素后，我们建议考虑如何将业务元素落实到技术层面的数据元素(如对应的表和栏位)，即识别关键数据元素。这一步往往离不开数据映射（Data Mapping）的概念。数据映射通常有两个层面：在业务层面，数据映射关系需要被清晰地定义，反映数据从源系统到反洗钱系统（中间可能还有数据集市或数据池的过渡）的关联关系。在技术层面，数据映射关系的实现最好是通过自动化软件去完成数据提取—转换—加载（ETL）的流程，这样可以弥补数据映射业务需求通常比较概括的弱点，而且可以有效防范一些简单的数据质量问题（比如字段重复问题）。总而言之，对于数据质量管控，我们必须保证数据映射文档的完整和清晰，其重要性不言而喻。

难点二：搭建合理的数据架构和数据模型

搭建合理的数据架构和数据模型的难点往往是机构难以理解自身应用需求，以搭建适合自身情况的数据架构或模型。如果底层基础没有打好，上层建筑自然不会稳当。

为帮助金融机构解决这样的难题，普华永道建议搭建如下图所示包括用户界面区、数据分析区、反洗钱功能区等的数据架构，并建立统一的数据源。

图：典型反洗钱数据架构

用户界面区需采取严格权限设定管理和灵活设置，实现用户对系统数据和功能的合理横向、纵向访问。数据分析区实行自主监控和管理，可随着业务量和访问模式的变化自动调度资源，并调整自身数据分析的复杂程度，保证自身的稳定。功能区各模块遵循自治原则，可独立运行、监控和部署模块所需数据，处理流程，扩展能力聚合成标准接口，再从统一数据源来获得所需数据。统一数据源行业多使用数据集市或数据池，其优势在于能最大化的重用数据，提高数据应用的运筹效率，同时保证同一数据具有唯一可信源。

在建设好完善的反洗钱数据架构后，如何搭建合理的数据模型也至关重要。完善的数据模型需具有确定的统一数据源，以增强数据引用的有效性，提升数据利用效率，减少重复引用异源数据的情况。同时，良好的数据模型需能灵活对应不同反洗钱应用需求，并在数据模型趋于成熟后，从反洗钱应用扩展延伸到企业级水平，适用不同部门（比如合规、风险和业务部门）的多种业务需求，切合部门间统筹管理和规划，实现全行战略部署。

难点三：确定数据质量校验的标准并有效地执行数据校验

在拥有良好的治理机制、数据架构及数据模型后，金融机构接下来会根据数据类型确定适用的校验标准和开展质量校验工作。

其中存在以下几处难点：

• 如果忽视人力、流程和技术的现状，不以“风险为本”的思路更好地分配自身资源，就很难将数据质量管理工作集中在对合规风险影响最高的数据上。
• 数据质量检验过程中缺乏科技支持以提高治理自动化程度。如果对于校验流程未能通过技术进行自动化治理，则无法提高检验结果的准确性，减少所需的人工工作，且容易出错和不具备重复操作性。
• 对于发现的数据质量问题，假如未能从源头上解决错误，且未通过根本原因分析找到维持数据质量水平的管控措施，就难以防止类似数据质量问题重复发生。
  
  
  

作为应对策略，我们建议首先应该优化数据沿袭和数据质量校验的方法论及流程。数据沿袭测试会用来验证数据从源系统到终端反洗钱系统的可追溯性。这类校验可以确保数据映射和ETL的一致性和准确性。如果数据测试没有通过，需要对数据映射进行再审视。只有整改此类问题完全解决后才能继续后续系统建制或优化工作。数据质量测试通常是针对反洗钱相关的关键数据元素进行。如若发现问题，在分析产生的根本原因时候会从终端检测系统追溯到数据流的上游系统，找到能从根本上解决问题的方案。

根据上述提到的思路，在实践中，数据质量检验工作的关键步骤如下：

• 明确数据质量测试规则和信息科技部门协同开发数据校验的执行工具。
• 分析数据测试结果，识别未遵循数据标准的数据问题及其涉及范围（最好是基于统计数据的定量分析）。
• 识别产生数据质量问题的根源。领先实践是解决根本原因，而不是采取治标不治本的捷径。当然，同时也要评估问题的影响以更好的确定数据补救措施的优先级。
• 制定数据清洗或整改策略，包括谁负责清洗数据，在哪里清洗数据，怎么清洗数据以及需要花多少时间清洗数据。
• 验证数据整改策略的有效性并整合进未来反洗钱系统优化的计划中。
  
  
  

数据质量问题的分析和问题整改由于可能涉及到源头系统的整改，花费的时间通常比解决数据沿袭问题用时更长，这就需要金融机构理清工作的优先级。对反洗钱工作影响大、整改手段相对简单的可以考虑优先进行。优秀的合规数据管理者会依靠建立的数据治理问题管理流程和变更管理流程去高效地跟踪数据问题的整改。实践中，由于数据整改可能会花费比预期更长的时间，就更需要相应地制定和调整计划，且寻找合适的、可扩展的技术基础设施，例如评估工具、科技和应用相结合、投入技术和相关培训以填补发现的空缺等方法可以使得整改更加自动化并提升效率。

结语

“数据为先”的管理思路为大多数机构开展反洗钱管理合规工作提供了持续的、长期的解决方案。围绕“数据为先”思路搭建的解决办法也历经了国内外诸多监管的不断考验。但同时需要正视的是，目前我国的数据治理工作仍处于一个起步阶段，机构面临着诸多的不足和挑战。金融机构需考虑尽快建立健全自身的合规数据治理架构和机制，在尽早的阶段系统地、科学地发现和解决反洗钱相关的数据问题，而不是在合规工作需求完全确定后再去补救，这才会避免让数据问题成为反洗钱合规和监测工作取得成效的拦路虎。

最后，有远见的合规官会认识到数据、模型、系统的管理不会是一次性的建制或清理工作，而是应使用长期且有持续性的眼光去看待，建立合规和反洗钱数据治理的长效机制，不断指导反洗钱合规工作更有效和有效率地进行。